JVN のシステムの話 - naoyaのはてなダイアリー

誰（どの組織）が書いたか不明（JVN編集者が書いているようにも読めなくもない）なのは、システムに問題があるのではないか。署名欄でも設けたらどうか。自由書式だからこういう輩が出てくるのだから、記入様式を用意したらいいのに。

それ書いたの僕なわけですが。

マニュアルとか、フォームのそばにある説明を見ても「CERT/CCへの情報提供(任意)」だっけかな、そんな一文が書いてるだけで何を書いたらいいか分からないのですよ。そこに書いて欲しい具体的な内容があるなら具体的にどういうことを書くかとか、そういうのがないと分からないですね。

あと、このシステムの位置づけというのがいまいち理解できてなかったり。(もちろん、脆弱性情報を安全な経路で教えていただけるのは大変ありがたいことです。 ) それを修正した後に僕らが JVN のシステムを使って決められたフォーマットであれやこれを入力するのは何かしらの義務なんですか? 何を書いたらよいかわからない任意のコメント欄に、修正済みの脆弱性なのでそう書いたまでだったんですが、それで「こういう輩」とまで言われるってのは、何かそういう決まりとか強制力みたいなもんがあるってことなんでしょうか。

追記

一応誤解を与えないように追記しておきます。何か情報を書くのが嫌だっていうことではなくて、何を書いたらいいかが示されてないコメント欄で、且つ「任意」とまで書かれている箇所に書かれたことを批判されているのに対する疑問です。

もしそこに、脆弱性を再発させないために有益な情報とか、なにが原因でどうなおしたのかというのを詳細に記述するべきである、というならそういう説明が少しでも欲しいなと。素で分からなかったんですよ、何を書いたらいいか。

それから、「18:00 に情報を公開するので何か記入してください」というメールが来まして、システムを使おうとしたらエラーで使えなかった。それが修正されて僕がコメントを記入する欄があるということを知ったのは 16:00。そういう状況で通常業務と平行しながら前例とか周囲をくまなく調べて「コメントにこう書くべきという暗黙のルール」を理解して、何かしらを記述するってのは無茶な話ですよ。

情報を提供していただいてるのですからもちろん感謝していますし、出せる情報は出したい。でもその前提となる状況がまったくそろってない状態で、何かそれをするのが義務のような感じで批判されるのは納得がいかないですよ。

そういう意味で高木さんは JVN のシステムの方を批判しているようにも読めますが、「こういう輩」という指摘は、当事者としてはあまり気分の良いものではないです。